Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Risk Modeling

    Enviado por

    Hayet Mouheddine
    84 visualizações19 páginas
    risk modeling

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PPTX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    risk modeling

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    84 visualizações19 páginas

    Risk Modeling

    Enviado por

    Hayet Mouheddine
    risk modeling

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 19

    Faculté des Sciences Économiques et de Gestion de Sfax

    LA MODELISATION DES RISQUES


    OWASP DREAD STRIDE CVSS
    ÉLABORÉ PAR: Sondes Harizi
    Plan
    01 INTRODUCTION

    02 OWASP

    03 STRIDE

    04 SYSTEME DE MODELISATION DU RISQUE

    CVSS

    05
    06 conclusion
    INTRODUCTION
    Bienvenu!!
    .
    La modélisation des risques nous permet de mieux mesurer l’occurrence de certains événements mais elle ne nous permet pas
    de les prédire avec exactitude. Dans ce travail de modélisation des risques, le choix des méthodes et techniques permettant la
    construction du modèle, le choix de la méthode d’estimation et même le choix des données influencent directement et de façon
    importante les réponses obtenues et, de ce fait et malgré l’apparence de rigueur, ces choix ne sont pas neutres.
    Nous abordons ces différents aspects à travers quelques exemples
    PROBLELMATIQUE

    1 2 3
    À Quoi Sert La Comment Modéliser Quels sont les
    Modélisation des un Risque? Systèmes de la
    Risques des Modélisation du
    Menaces? Risque?
    Les Valeurs Fondamentales
    OWASP
    OWASP (Open Web Application Security Project) est un guide de sécurisation des applications web, c'est un « ouvrage » de
    référence des bonnes/mauvaises pratiques de développement, d'une base sérieuse en termes de statistiques, et d'un ensemble de ressources
    amenant à une base de réflexion sur la sécurité..

    Organisation internationale de Entité à but non lucratif qui Fournir des informations objectives,
    concevoir, développer, acquérir, assure le succès à long terme pratiques et rentables sur la sécurité
    exploiter et maintenir des du projet. des applications.
    applications fiables. .
    STRIDE
    STRIDE est un système de classification utilisé pour aider à raisonner et à trouver des menaces pour un système. L'acronyme
    STRIDE est formé à partir de la première lettre de chacune des catégories suivantes:

    Spoofing de l'identité
    de l'utilisateur Répudiation Déni de Service

    Tampering Divulgation
    d‘Informations Elevation de
    Privilége
    STRIDE
    Spoofing de l'identité Usurpation d’Identité Répudiation
    de l'utilisateur

    L' usurpation d'identité est un Les utilisateurs peuvent Déterminer si l'application nécessite des
    risque majeur pour les applications potentiellement modifier les données contrôles de non-répudiation, tels que des
    qui comptent de nombreux qui leur sont fournies, les renvoyer journaux d'accès Web, des pistes d'audit à
    utilisateurs, mais qui fournissent un et ainsi manipuler la validation côté chaque niveau ou le même contexte
    contexte d'exécution unique au client, les résultats GET et POST, les utilisateur de haut en bas. De préférence,
    niveau de l'application et de la base cookies, les en-têtes HTTP, ... l'application doit fonctionner avec les
    de données. En particulier, les L'application ne doit pas envoyer de privilèges de l'utilisateur, pas plus, mais cela
    utilisateurs ne devraient pas données à l'utilisateur. L'application peut ne pas être possible avec de nombreux
    pouvoir devenir un autre utilisateur doit vérifier les données reçues de frameworks d'application standard.
    ou assumer les attributs d'un autre l'utilisateur et valider qu'elles sont
    utilisateur. saines et applicables avant de les
    stocker ou de les utiliser.
    STRIDE
    Divulgation d’Information Déni de Service Élévation de
    privilège

    Les utilisateurs se méfient à juste titre de Les concepteurs d'applications Si une application fournit des rôles
    la soumission de données privées à un doivent savoir que leurs applications utilisateur et administratif distincts, il est
    système. S'il est possible pour un attaquant peuvent faire l'objet d'une attaque essentiel de s'assurer que l'utilisateur ne
    de révéler publiquement des données par déni de service. Par conséquent, peut pas élever son rôle à un rôle de privilège
    d'utilisateur en général, que ce soit l'utilisation de ressources coûteuses supérieur. En particulier, ne pas afficher les
    anonymement ou en tant qu'utilisateur telles que les fichiers volumineux, liens de rôle privilégiés est insuffisant. Au
    autorisé, il y aura une perte de confiance les calculs complexes, les recherches lieu de cela, toutes les actions devraient être
    immédiate et une période importante de intensives ou les longues requêtes bloquées à travers une matrice d'autorisation,
    perte de réputation. Par conséquent, les doit être réservée aux utilisateurs pour s'assurer que seuls les rôles autorisés
    applications doivent inclure des contrôles authentifiés et autorisés, et non peuvent accéder aux fonctionnalités
    stricts pour empêcher la falsification et disponible pour les utilisateurs privilégiées.
    l'abus d'ID utilisateur. anonymes.
    DREAD
    DREAD est un système de classification permettant de quantifier, de comparer et de prioriser la quantité de risque présentée par chaque menace
    évaluée. L'acronyme DREAD est formé à partir de la première lettre de chaque catégorie ci-dessous.
    La modélisation DREAD influence la réflexion sur la détermination de la cote de risque et sert également directement à trier les risques.
    L'algorithme DREAD, illustré ci-dessous, est utilisé pour calculer une valeur de risque, qui est une moyenne des cinq catégories.

    DAMAGE

    REPRODUCTIBILITE

    EXPLOITABILITE

    A UTILISATEURS FFECTED  

    DISCOVERABILITY
    DREAD
    Risk_DREAD = ( D AMAGE + R EPRODUCTIBILITE + E XPLOITABILITE + A UTILISATEURS
    FFECTED + D ISCOVERABILITY) / 5
    Le calcul produit toujours un nombre entre 0 et 10; plus le nombre est élevé, plus le risque est sérieux.
    Systèmes de Modélisation des Risques
    des Menaces
    OWASP reconnaît que l'adoption du processus de modélisation Microsoft peut ne pas
    convenir à toutes les organisations. Si STRIDE et DREAD sont inacceptables pour une raison ou pour
    une autre, OWASP recommande d’autres modèles de risque de menace discutés par rapport à une
    application ou une conception existante. Cela permet à l’Entreprise de
    déterminer quelle approche convient le mieux et d'adopter les outils de modélisation des
    menaces les plus appropriés pour votre organisation.
    L'exécution de la modélisation des risques menaces fournit un rendement beaucoup plus élevé.
    Par conséquent, faites de la modélisation des risques de menace une priorité dans le processus de
    conception d'application.
    Systèmes de Modélisation des Risques
    des Menaces
    Le département américain de la sécurité intérieure (DHS) a créé le groupe de travail sur la
    divulgation des vulnérabilités du NIAC, qui intègre les données de Cisco Systems, Symantec,
    ISS, Qualys, Microsoft, CERT / CC et eBay.
    L'un des résultats du groupe est le système commun de notation de vulnérabilité (CVSS).
    CVSS

    Dans le domaine de la sécurité informatique, Common Vulnerability


    Scoring System (CVSS) est un système d'évaluation standardisé de la
    criticité des vulnérabilités selon des critères objectifs et mesurables.
    Cette évaluation est constituée de 3 mesures appelées métriques:
    la métrique de base, la métrique temporelle et la métrique
    environnementale.
    CVSS: Avantages
    Envoyer une notification à l’utilisateur indiquant que le produit
    est vulnérable, et qu'il dispose d'une cote de gravité précise et
    normalisée

    le système de classement CVSS est utilisé pour établir des


    classements de risques fiables, afin de garantir que les
    éditeurs de logiciels prendront les exploits au sérieux, comme indiqué
    par leur notation.

    CVSS a été recommandé par le groupe de travail à l usage des


    ministères du gouvernement des États-Unis.
    CVSS: LIMITES

    01 02 03 04
    CVSS ne trouve pas ou ne CVSS est plus complexe Le classement des risques CVSS Le calcul du niveau de risque
    réduit pas la surface d'attaque que STRIDE / DREAD, est complexe - une feuille de calcul du CVSS est assez lourd s'il
    (c.-à-d. Les défauts de car il vise à calculer le est nécessaire pour calculer les est appliqué à un examen
    conception), ou aide à risque de vulnérabilités composants de risque car approfondi du code, qui peut
    énumérer les risques dans annoncées tel qu'il est l'hypothèse derrière CVSS est comporter 250 menaces de
    n'importe quel code arbitraire, appliqué aux logiciels qu'une vulnérabilité spécifique a classement ou plus.
    car c'est juste un système de déployés et aux facteurs été identifiée et annoncée, ou qu'un
    notation, pas une méthodologie environnementaux. ver ou un cheval de Troie a été
    de modélisation libéré ciblant un petit nombre de
    vecteurs d'attaque.
    CONCLUSION

    La modélisation des menaces a de plus en plus de succès ces derniers temps, mais ce n’est
    pas un concept nouveau pour certains marchés verticaux

    le processus de modélisation des menaces (introduit par Microsoft) permet


    d’identifier les actifs et créer une vue d'ensemble des architectures
    Élaboré par: Sondes Harizi
    2MP ASI - FSEGS

    Você também pode gostar